معرفی باگ جدید در SSL : پودل

[بهنام توکلی]

آسیب پذیری POODLE که امروز منتشر شده است، از یک ضعف در مبنای تئوری SSLv3 استفاده کرده است، نه یک مشکل پیاده سازی. به همین دلیل تنها راه برطرف کردن آن غیر فعال کردن کامل این پروتوکل می‌باشد.

اصل مبنای تئوری این آسیب پذیری توسط Serge Vaudenay در سال ۲۰۰۱ مطرح شده بود، اما او فکر می‌کرده است که امکان استفاده عملی از این آسیب پذیری وجود ندارد. هم اکنون یک روند عملی برای استفاده از این آسیب پذیری مطرح شده است. این روند عملی، اگر چه پیچیده، ولی قطعی است (احتمالی نیست) و فراهم کردن همه‌ی شرایط آن اگر چه نیاز به تلاش بسیاری دارد (و نوشتن یک اسکریپت برای آن شاید سخت باشد) ولی کاملا شدنی است.

... مطالعه متن کامل توضیح فنی آسیب پذیری پودل...
...مطالعه متن کامل معرفی باگ جدید در SSL : پودل...

[محمودی فرد]

سلام . فکر میکنم firefox v33  در مقابل این اسیب پذیری امن است .  اما qupzilla هنوز ناامن است . چگونه qupzilla را امن کنم(ssl v3 را ببندم ؟ ) 
این سایت هم مثل اینکه نامن است مگر اینکه از  TLS_FALLBACK_SCSV  پشتیبانی کند .
تشخیص آسیب‌پذیری SSL v3 Poodle
http://amn.bayan.ir/poodle

[jackshepherd]

جالبه.این روزها خبرهای جالبی از امنیت منتشر میشه.امروز اپدیتی برای ssl در ابونتو 14.04 اومد.ایا امکان داره که این مشکل با این اپدیت برطرف شده باشه.؟

[fzerorubigd]

این مشکل اصولا حل نمیشه. تعریف SSLV3 از اساس مشکل داره و تنها راهش حذف کردن این پروتکله. از طرفی این باگ وجودش خیلی وقته که مشخصه، منتها تازگیا یه روش عملی برای سواستفاده از این باگ پیدا شده.

[ح.م]

یعنی من واقعا احساس امنیت می کنم !  اولش openssl بعد bash بعد هم که این ! لابد خبرهای بعدی اینه که کلا باید قید امنیت رو زد 

[jackshepherd]

نه فکر کنم خبر بعدی باید کلا سیستم هامو خاموش کنیم.

پ.ن:شاید ربطی نداشته باشه ولی ماه پیش یک باگ امنیتی تو اپاچی اندروید کشف شد که از اولین نسخه تا اخرین نسخه بود و کسی از این باگ خبری نداشت.

[ح.م]

از کار بندازید این SSL رو
افزونه فایرفاکس

[سیروس]

خب این باگ یا سوراخ امنیت کجای سیستم رو به خطر میاندازه؟

[ح.م]

فرض کن که شما وارد یه سایت بانکی می شی و اطلاعات کارت بانکی تون رو توش وارد می کنید ، خطر این باگ یعنی لو رفتن کارت بانکی شما و دزدیده شدن پول هاتون